V (Dharma) Ransomware

사이버 위협은 점점 더 정교해져서 사용자가 기기를 보호하기 위해 강력한 보안 조치를 구현하는 것이 중요해졌습니다. 특히 공격적인 랜섬웨어인 V(Dharma) 랜섬웨어는 파일을 암호화하고 해독에 대한 비용을 요구합니다. 이 위협이 어떻게 작동하는지 이해하고 강력한 보안 관행을 채택하는 것이 안전을 유지하는 데 필수적입니다.

V(Dharma) 랜섬웨어가 파일을 암호화하는 방법

V(Dharma) 랜섬웨어는 주로 Windows 시스템을 타겟으로 하는 잘 알려진 랜섬웨어 그룹인 Dharma 패밀리에 속합니다. 장치에 침투하면 파일을 암호화하고 고유한 피해자 ID, 공격자가 제어하는 이메일 주소, '.V' 확장자를 추가하여 파일 이름을 수정합니다. 예를 들어, '1.png'라는 이름의 파일은 '1.png.id-9ECFA84E.[vijurytos@tuta.io].V'가 되고, '2.pdf'는 '2.pdf.id-9ECFA84E.[vijurytos@tuta.io].V'로 이름이 변경됩니다.

암호화가 완료되면 V 랜섬웨어는 팝업 랜섬 노트를 표시하고 영향을 받는 디렉터리에 'info.txt'라는 텍스트 파일을 만듭니다. 랜섬 노트는 피해자에게 고유 ID를 포함하여 이메일을 통해 공격자에게 연락하도록 요청합니다. 12시간 이내에 응답이 수신되지 않으면 보조 이메일 주소가 제공됩니다.

몸값 요구와 전략

랜섬 노트는 피해자에게 파일이 암호화되었으며 공격자로부터 복호화 도구를 구매해야만 복구할 수 있다고 경고합니다. 피해자에게 복호화가 가능하다는 것을 확신시키기 위해 범죄자들은 최대 3개의 파일(3MB 미만)을 무료로 복호화하겠다고 제안합니다. 단, 파일에 귀중한 데이터가 포함되어 있지 않아야 합니다.

또한, 이 메모는 피해자에게 암호화된 파일의 이름을 바꾸거나 타사 복호화 소프트웨어를 사용하려고 시도하지 말라고 권고하며, 그렇게 하면 영구적인 데이터 손실이나 몸값 요구 증가로 이어질 수 있다고 경고합니다. 비트코인을 구매할 수 있는 링크가 포함되어 있으며, 몸값 지불은 암호화폐로 해야 한다는 점을 강조합니다.

은밀한 전술과 지속성 메커니즘

V 랜섬웨어는 다른 Dharma 변종과 많은 특성을 공유하여 피해자를 데이터에서 차단하는 데 매우 효과적입니다. 암호화 외에도 감염된 시스템에 대한 통제력을 강화하기 위해 여러 가지 작업을 수행합니다.

• 보안 기능 비활성화: 랜섬웨어는 감지되지 않기 위해 시스템 방화벽을 끕니다.
• 백업 사본 삭제: 볼륨 섀도 사본(Windows 백업 파일)을 제거하여 복호화 키 없이는 데이터 복구가 어렵게 만듭니다.
• 지속성 보장: V는 '%LOCALAPPDATA%' 디렉토리에 자신을 복사하고 시스템이 시작될 때마다 실행되도록 Windows 레지스트리 실행 키를 수정합니다.

• 선택적 타겟팅: 랜섬웨어는 특정 위치의 파일을 암호화하지 않을 수 있으며, 이는 시스템 기능을 계속 유지하거나 감지를 피하기 위한 것일 수 있습니다.

V(Dharma) 랜섬웨어가 퍼지는 방식

공격자는 다양한 방법을 사용하여 V 랜섬웨어를 배포하고, 시스템을 보안 위험에 모르게 노출시키는 사용자를 대상으로 합니다. 가장 일반적인 감염 벡터 중 일부는 다음과 같습니다.

• 손상된 원격 데스크톱 프로토콜(RDP) 서비스: 위협 행위자는 취약한 RDP 자격 증명을 악용하여 무차별 대입 공격이나 사전 공격을 수행하여 무단 액세스를 얻습니다.
• 사기성 이메일 첨부 파일 및 링크: 사용자는 랜섬웨어를 배포하는 웹사이트로 연결되는 감염된 첨부 파일이나 링크가 포함된 피싱 이메일을 받을 수 있습니다.
• 소프트웨어 취약점 악용: 사이버범죄자들은 패치되지 않은 보안 결함을 이용해 취약한 시스템에 랜섬웨어를 설치합니다.
• 불법 복제 소프트웨어와 크랙된 프로그램: 비공식적인 출처에서 소프트웨어를 다운로드하면 랜섬웨어가 포함된 실행 파일을 만날 위험이 커집니다.
• 가짜 광고 및 안전하지 않은 웹사이트: 사용자는 사기성 광고나 손상된 웹사이트를 통해 랜섬웨어를 다운로드하도록 속을 수 있습니다.
• 감염된 USB 드라이브: 사이버 범죄자는 감염된 외장 드라이브를 대상 장치에 연결하여 랜섬웨어를 퍼뜨리는 경우가 있습니다.

보안 강화를 위한 모범 사례

랜섬웨어 감염을 예방하려면 사이버 보안에 대한 사전 예방적 접근 방식이 필요합니다. 사용자가 기기를 보호하기 위해 취해야 할 가장 효과적인 조치는 다음과 같습니다.

• 해독하기 어려운 비밀번호를 사용하고 다중 인증(MFA)을 활성화하세요 . 복잡하고 고유한 비밀번호로 RDP 및 온라인 계정을 보호하고 MFA를 활성화하여 무단 액세스를 차단하세요.
• 소프트웨어와 운영 체제를 최신 상태로 유지하세요 . 랜섬웨어가 악용할 수 있는 취약점을 패치하기 위해 보안 업데이트를 정기적으로 설치하세요.
• 사용하지 않는 RDP 서비스 비활성화 : 원격 데스크톱 접속이 불필요한 경우, 일반적인 공격 벡터를 제거하기 위해 RDP를 비활성화하세요.

• 정기적으로 데이터를 백업하세요 . 랜섬웨어가 데이터를 암호화하는 것을 방지하기 위해 중앙 시스템에 직접 연결되지 않은 외부 장치나 클라우드 서비스에 백업 데이터를 저장하세요.

• 이메일 첨부 파일과 링크에 신중하게 주의 하세요 . 신뢰할 수 있는 출처에서 온 것처럼 보이더라도 예상치 못한 이메일 첨부 파일에 접근하거나 의심스러운 링크를 클릭하지 마세요.

• 공식 출처에서만 소프트웨어를 다운로드하세요 . 불법 복제 프로그램과 타사 다운로더는 악성 코드를 포함하고 있는 경우가 많으므로 피하세요.

• 랜섬웨어 보호 기능이 있는 보안 소프트웨어 사용 : 어떠한 도구도 완벽한 보호를 보장할 수는 없지만, 랜섬웨어 감지 기능이 있는 보안 솔루션은 감염을 예방하는 데 도움이 될 수 있습니다.

• 네트워크 세분화 활성화 : 여러 장치를 사용하는 경우, 중요한 시스템을 일반 사용 컴퓨터에서 분리하여 랜섬웨어가 네트워크 전체로 확산되는 것을 제한합니다.

마지막 생각

V(Dharma) 랜섬웨어는 파일을 암호화하고 피해자에게 몸값을 요구하는 매우 파괴적인 위협입니다. 공격자는 의도적으로 백업 사본을 제거하고 보안 기능을 비활성화하기 때문에 복호화 키 없이 암호화된 데이터를 복원하는 것은 매우 어려울 수 있습니다. 랜섬웨어의 희생자가 되는 것을 피하기 위한 가장 좋은 방법은 강력한 사이버 보안 습관을 실천하고, 필수 파일의 백업을 보관하고, 웹을 탐색하거나 이메일을 열 때 경계하는 것입니다.